Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 30 modèles d’IA, avec 0 % de frais supplémentaires
Une faille de sécurité qui secoue tout le DeFi
Auteur : thedefinvestor Traduction : Shàn Ōbā, Jinse Caijing
Analyse complète de l’incident rsETH
La semaine dernière, Kelp DAO a été victime de l’une des plus grandes attaques de vol de fonds en DeFi récemment.
Les hackers ont utilisé de faux messages cross-chain pour compromettre le pont cross-chain rsETH de Kelp DAO, supporté par LayerZero, et ont créé de toute pièce 116 500 rsETH, d’une valeur d’environ 290 millions de dollars.
L’attaque en elle-même a déjà eu de graves conséquences, mais la forte dépendance de rsETH dans l’écosystème DeFi a amplifié l’impact de la catastrophe. Par exemple, rsETH a été listé comme actif de garantie conforme sur Aave.
Après avoir créé de toute pièce rsETH, les hackers l’ont immédiatement utilisé comme garantie pour emprunter de l’ETH sur Aave, entraînant directement une créance douteuse de plus d’un milliard de dollars pour Aave.
Et ce n’est pas seulement Aave, l’incident a eu un impact très large : Compound, le coffre EarnETH de Lido, certains pools de prêt Morpho, le produit mHyperETH de Hyperithm, le coffre SuperWETH de Superform, et d’autres protocoles ont été affectés, car ils détenaient ou étaient connectés à rsETH à différents degrés.
À qui revient la responsabilité de l’incident ?
Comparé à des attaques passées comme Drift, la responsabilité de cet incident est plus complexe à déterminer.
L’attaque a exploité le pont cross-chain rsETH géré par LayerZero, et non une faille dans le contrat intelligent de Kelp DAO lui-même. Actuellement, chacun se rejette la faute : LayerZero accuse Kelp DAO, tandis que Kelp DAO pense que la responsabilité incombe entièrement à LayerZero.
Voici une synthèse objective des faits principaux :
Les hackers ont compromis deux fournisseurs de services RPC, dont LayerZero dépend pour son réseau de validation distribué (DVN), afin de falsifier des données et de créer de la monnaie malveillante ;
Le pont rsETH de Kelp DAO utilise un mécanisme de validation à signature unique (1/1 DVN), ne s’appuyant que sur un seul nœud de validation pour approuver les transactions, ce qui facilite la falsification et la validation frauduleuse ;
LayerZero accuse Kelp DAO d’avoir choisi une validation à nœud unique peu sécurisée, mais LayerZero lui-même tolère et permet à tous les projets d’utiliser le mode de validation minimaliste 1/1 ;
Avant l’attaque, 47 % des applications décentralisées utilisant l’infrastructure cross-chain de LayerZero utilisaient déjà la configuration 1/1 DVN, ce qui n’est pas spécifique à Kelp DAO.
Il est évident, sans entrer dans des détails techniques complexes : LayerZero doit assumer la majeure partie de la responsabilité et reconnaître ses défauts de conception.
La faille de Kelp DAO réside dans une simplification excessive de la sécurité, en utilisant un seul nœud de validation ; si une validation multi-signatures ou multi-nœuds avait été adoptée, cette attaque aurait pu être empêchée. Mais en fin de compte, si les nœuds RPC de LayerZero n’avaient pas été compromis, cet incident de vol n’aurait pas eu lieu.
Prochaines étapes et réponses de l’industrie
Heureusement, près d’un tiers des actifs volés ont été gelés et récupérés par Arbitrum, et les fonds liés aux hackers ont été bloqués par les autorités.
Du point de vue de la décentralisation, la décision de la part des projets de geler volontairement leurs actifs est contestable. Mais dans la réalité, étant donné qu’il est impossible d’atteindre une décentralisation totale sur les réseaux de seconde couche, prendre des mesures pour limiter les pertes et protéger les utilisateurs est bien plus pertinent que de se contenter d’idéaliser.
Par ailleurs, Aave évalue plusieurs solutions pour couvrir les pertes massives causées par cet incident. L’organisme de gestion des risques de Aave, LlamaRisk, propose deux plans de gestion :
Répartition des pertes sur l’ensemble du réseau : répartir les pertes sur toutes les chaînes où Aave est déployé, les prêteurs en ETH sur le réseau principal Ethereum supportant 1,54 % des pertes ;
Isolation des pertes : limiter les pertes au réseau de seconde couche où le hacker a utilisé rsETH comme garantie, avec une perte potentielle pouvant atteindre 71 % pour les prêteurs en ETH sur la chaîne Mantle.
Les chiffres ci-dessus sont des estimations avant la gelée de 30 766 ETH par Arbitrum, et la perte finale réelle sera probablement bien moindre.
De plus, Aave n’exclut pas d’utiliser des fonds de la trésorerie pour couvrir une partie des pertes, et l’équipe officielle de Mantle a confirmé qu’elle élaborait des plans pour récupérer et compenser les actifs.
Personnellement, j’espère que la solution finale pourra maximiser la protection des utilisateurs, avec des pertes nulles ou très faibles. Depuis longtemps, Aave est une référence dans le secteur de la finance décentralisée à faible risque, et cet incident a gravement terni sa réputation.
Après la diffusion de l’incident, de nombreux voix ont minimisé le secteur, affirmant que plusieurs protocoles leaders s’effondraient successivement, et que la DeFi était en déclin.
Je ne partage pas cet avis. En regardant le parcours de développement, la DeFi a traversé plusieurs crises majeures, mais a toujours su se réparer, évoluer et renaître.
La DeFi ne disparaîtra pas pour autant, mais tout le secteur doit faire face à ses problèmes : avant de poursuivre l’innovation et la recherche de rendement, la sécurité doit devenir la priorité absolue.